У биржевых хакеров снова наступила «ломка»… / Comments / Habr

Lungo Jul 31 2012 at 17:56

Я так понимаю, все фейковые LibertyReserve-доллары теперь просто сгорят? Или все таки была возможность перевести их в реальные доллары?

Jeditobe Jul 31 2012 at 17:58

Скорее всего биржу заставили поверить, что эти доллары были, и продать за эти фейковые доллары настоящие биткоины.

Lungo Jul 31 2012 at 18:04

Это понятно, но фейковые доллары просто перешли в другие руки, так и не став настоящими. Вопрос в том, что с ними будет дальше

rPman Jul 31 2012 at 23:14

Сейчас мы откатываем торги на бирже

Если откатили торги, значит ни у кого не украдено ничего… пострадала только биржа на указанный объем bitcoin.

polym0rph Jul 31 2012 at 18:27

Цитаты:

polym0rph Jul 31 2012 at 18:28

«Всем будет без исключения возвращены USD и BTC из нашего резервного фонда!»

«Торги будут отключены в период пока балансы не будут совпадать с теми которые были до обрушения торгов + балансы который были у пользователей после обрушения торгов»

Я так понимаю, что будет откат транзакций до состояния перед всей этой каруселью.

Antigluk Aug 1 2012 at 16:15

Сейчас мы откатываем торги на бирже

Psih Jul 31 2012 at 18:41

Работаю с Liberty API и могу сказать, что обработку платёжки на бирже явно писали идиоты.
Это вообще касается работы с любой платёжной системой — намалюют абы как (или поставят стандартный скрипт-пример от самой платёжки) и потом удивляются.
Для того, что бы такого не происходило, желательно по возможности заюзать следующие советы (некоторые системы не поддерживают определённый функционал, либо наоборот имеют дополнительные средства — в любом случае стоит их использовать по максимуму):

Использовать HTTPS
Устанавливать ссылку на обработчик нотификаций в настройках мерчанта и никогда не ставить его в виде параметра в форме (не для всех платёжек такое возможно, но их слава богу мало).
Не держать обработчик нотификаций на том же домене и с очевидным адресом. Сделайте пару неговорящих ни о чем поддоменов и используйте один из них, либо зарегистрировать вообще отдельный домен под это дело. Путь к скрипту обработки не должен угадываться на раз, все попытки неправильных запросов отфутболивать как 404.
Внимательно проверять статусы транзакций, соотвествие валют, соотвествие суммы записаной в транзакции и той, что пришла в нотификации.
Обязательно вести лог действий над транзакцией, любые несоотвествия нещадно и подробно логировать. Потом спасибо сами себе скажите.
Ограничить доступ по IP, что-бы доступ имел только сервер платёжной системы. Но нужно учитывать, что иногда IP меняются, так что нужно обязательно нотифицировать себя при несовпадении и подробно логировать то, что пришло, что бы обработать транзакции в ручную если нужно (и хотя обычно платёжки повторяют запрос через некоторое время, надеятся на это не стоит).
У большинства платёжек можно задавать свои кастомные поля — используйте их. Впихните туда 1-2 хеша посложнее (только не MD5, а что-нить типа SHA256 или покруче) с параметрами, о которых знает только ваша система и они нигде публично не фигурируют, да и алгоритм составления этого хеша узнают только если вас капитально сломают и утянут код — эти хеши очень сильно повышают надёжность транзакций, т.к. если хоть один параметр не совпадёт — хеш валидацию не пройдёт.
Статусы транзакций должны быть реализованы таким способом, что бы если нотификация пришла и была успешно обработана и получила финальный статус success/failed — то сменить скажем failed на success уже нельзя было бы через нотификацию, если кто-то всё же сумеет подделать запрос. Само собой нужно учитывать особенности самой системы — бывают и chargeback, и всякие pending и тому подобное. Так же бывает что failed реально может смениться на success — в таких случаях саппорт должен быть нотифицирован и транзакция должна проверяться в ручную.
В некоторых платёжках доступен API для работы с историей операция — юзайте! Это весьма надёжный способ проверить, а был ли мальчик

+27

otov4its Jul 31 2012 at 19:48

Cкрытая реклама MtGox :)

-1

reactos Jul 31 2012 at 19:55

MtGox рекордсмен по числу взломов, наверное :)

rPman Jul 31 2012 at 23:17

у mtgox проблемы по серьезнее — невероятно долгие сроки вывода (21 суток, и это не рекорд), по сравнению с btc-e (сутки) это небо и земля.

Laytlas Jul 31 2012 at 20:56

Ой, вы не заметили, там иконочка icq, точно скрытая реклама аськи.

StopDesign Jul 31 2012 at 23:47

Я им сейчас такую рекламу устрою, что владелец в кровати перевернется! Он и без взломов как-то раз обнулил все аккаунты вместе с историей (в том числе и мой) и заявил, что «фантики» возвращать не собирается.